1、Bios Security
一定要給Bios設定密碼,以防通過在Bios中改變啟動順序。這樣可以阻止别人試圖用特殊的啟動盤啟動你的系統,還可以阻止别人進入Bios改動其中的設定(比如允許通過軟碟啟動等)。
2、删除所有的特殊賬戶
你應該删除所有不用的預設使用者群組賬戶(比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等)。
删除使用者:
[root@cat /]# userdel LP
删除組:
[root@cat /]# groupdel LP
3、最短密碼
在選擇正确密碼之前還應作以下修改:
修改密碼長度:在你安裝linux時預設的密碼長度是5個位元組。但這并不夠,要把它設為8。修改最短密碼長度需要編輯login.defs檔案(vi /etc/login.defs),把下面這行
PASS_MIN_LEN 5
改為
PASS_MIN_LEN 8
login.defs檔案是login程式的配置檔案。
4、打開密碼的shadow支援功能:
你應該打開密碼的shadow功能,來對password加密。使用"/usr/sbin/authconfig"工具打開shadow功能。如果你想把已有的密碼群組轉變為shadow格式,可以分别使用"pwcov,grpconv"指令。
5、設定root賬戶
在unix系統中root賬戶是具有最高特權的。如果系統管理者在離開系統之前忘記登出root賬戶,系統會自動登出。通過修改賬戶中"TMOUT" 參數,可以實作此功能。TMOUT按秒計算。編輯你的profile檔案(vi /etc/profile),在"HISTFILESIZE="後面加入下面這行:
TMOUT=3600
3600,表示60*60=3600秒,也就是1小時。這樣,如果系統中登陸的使用者在一個小時内都沒有動作,那麼系統會自動登出這個賬戶。你可以在個别使用者的".bashrc"檔案中添加該值,以便系統對該使用者實行特殊的自動登出時間。
改變這項設定後,必須先登出使用者,再用該使用者登陸才能激活這個功能。
6、取消普通使用者的控制台通路權限
你應該取消普通使用者的控制台通路權限,比如shutdown、reboot、halt等指令。
[root@cat /]# rm -f /etc/security/console.apps/
是你要登出的程式名。
7、取消并解除安裝所有不用的服務
取消并解除安裝所有不用的服務,這樣你的擔心就會少很多。察看"/etc/inetd.conf"檔案,通過注釋取消所有你不需要的服務(在該服務項目之前加一個"#")。然後用"sighup"指令更新"inetd.conf"檔案。
第一步:
更改"/etc/inetd.conf"權限為600,隻允許root來讀寫該檔案。
[Root@cat /]# chmod 600 /etc/inetd.conf
第二步:
确定"/etc/inetd.conf"檔案所有者為root。
第三步:
編輯 /etc/inetd.conf檔案(vi /etc/inetd.conf),取消下列服務(你不需要的):ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要 的服務關閉可以使系統的危險性降低很多。
第四步:
給inetd程序發送一個HUP信号:
[root@cat /]# killall -HUP inetd
第五步:
用chattr指令把/ec/inetd.conf檔案設為不可修改,這樣就沒人可以修改它:
[root@cat /]# chattr +i /etc/inetd.conf
這樣可以防止對inetd.conf的任何修改(以外或其他原因)。唯一可以取消這個屬性的人隻有root。如果要修改inetd.conf檔案,首先要是取消不可修改性質:
[root@cat /]# chattr -i /etc/inetd.conf
别忘了該後再把它的性質改為不可修改的。